ipsec transform-set

IPSEC-SA/CHILD SAのポリシーとして、暗号化アルゴリズム、認証アルゴリズムを設定します。
暗号化アルゴリズム、認証アルゴリズムは複数指定することができ、複数指定した場合はネゴシエーション時に複数の提案を行います。

複数の提案をする際のpayload内の暗号化方式は、IKEv1、IKEv2でそれぞれ以下の様になります。
IKEv1の場合は設定した順に提案します。
暗号化アルゴリズム、認証アルゴリズムが共に複数設定されている場合は、暗号化アルゴリズムを優先して提案します。
IKEv2の場合は、暗号化アルゴリズムをAES,3DES,DES,NULLの順に提案し、認証アルゴリズムをsha-256,sha-384,sha-512,sha1,md5の順に提案します。

CBQによって帯域制御を行う場合、ipsecifでの帯域計算で使用するICV長の補正値はデフォルトで12バイトとなっています。
しかし、sha256,sha384,sha512のICV長は12バイトでないので、必要に応じてqos frame-length-offsetで補正値を指定してください。
それぞれのアルゴリズムでのICV長は下記の通りです。
・HMAC-MD5: 12バイト
・HMAC-SHA: 12バイト
・HMAC-SHA2-256: 16バイト
・HMAC-SHA2-384: 24バイト
・HMAC-SHA2-512: 32バイト

FITELnet F60は、複数のポリシーを設定できますので、各ポリシー毎にポリシー名称を設定します。
このポリシー名称は、実際にどのセレクタ情報に対して使用するかの指定に使用しますので、わかりやすい名称としてください。

refreshコマンド後に有効になるコマンドです。

IKEv1/IKEv2共通コマンド

設定例1 IKEv1のポリシー(ポリシー名称:P2-POLICY)として、暗号化方式:AES(256bit)、認証アルゴリズム:HMAC-SHA-1を登録する

Router(config)#ipsec transform-set P2-POLICY esp-aes-256 esp-sha-hmac


設定例2 IKEv2のポリシー(ポリシー名称:P2V2-POLICY)として、暗号化方式:AES、認証アルゴリズム:HMAC-SHA-1を登録する

Router(config)#ipsec transform-set P2V2-POLICY ikev2 esp-aes esp-sha-hmac


コマンド書式

ipsec transform-set <ポリシー名> {<IKEv1暗号化アルゴリズム> [IKEv1認証アルゴリズム]| ikev2 <IKEv2暗号化アルゴリズム> [IKEv2認証アルゴリズム]}


パラメータ

パラメータ 設定内容 設定範囲 省略時の値
ポリシー名 ポリシー名として、わかりやすい名称を指定します。 16文字以内の英数字 省略不可
IKEv1暗号化アルゴリズム※2 IPSEC-SAの暗号化アルゴリズムを指定します。

esp-des DES方式
esp-3des 3DES方式
esp-aes-128 AES 128bit
esp-aes-192 AES 192bit
esp-aes-256 AES 256bit
esp-null 暗号化しない
esp-des
esp-3des
esp-aes-128
esp-aes-192
esp-aes-256
esp-null		 省略不可
IKEv1認証アルゴリズム※2 IPSEC-SAの認証アルゴリズムを指定します。

esp-md5-hmac HMAC-MD5アルゴリズム
esp-sha-hmac HMAC-SHA-1アルゴリズム
esp-sha256-hmac※3 HMAC-SHA2-256アルゴリズム
esp-sha384-hmac※3 HMAC-SHA2-384アルゴリズム
esp-sha512-hmac※3 HMAC-SHA2-512アルゴリズム
esp-md5-hmac
esp-sha-hmac
esp-sha256-hmac
esp-sha384-hmac
esp-sha512-hmac 		HMAC-MD5で動作します。
IKEv2暗号化アルゴリズム※1 CHILD SAの暗号化アルゴリズムを指定します。

esp-des DES方式
esp-3des 3DES方式
esp-aes AES方式
esp-null 暗号化しない
esp-des
esp-3des
esp-aes
esp-null		 省略不可
IKEv2認証アルゴリズム※1 CHILD SAの認証アルゴリズムを指定します。

esp-md5-hmac HMAC-MD5アルゴリズム
esp-sha-hmac HMAC-SHA-1アルゴリズム
esp-sha256-hmac※3 HMAC-SHA2-256アルゴリズム
esp-sha384-hmac※3 HMAC-SHA2-384アルゴリズム
esp-sha512-hmac※3 HMAC-SHA2-512アルゴリズム
esp-md5-hmac
esp-sha-hmac
esp-sha256-hmac
esp-sha384-hmac
esp-sha512-hmac 		HMAC-SHA-1で動作します。
※1 パラメータIKEv2暗号化アルゴリズム、IKEv2認証アルゴリズムは、V01.04(00)以降サポート
※2 パラメータIKEv1暗号化アルゴリズム、IKEv1認証アルゴリズムの複数指定は、V01.06(00)以降サポート
※3 認証アルゴリズム sha-256,sha-384,sha-512は、V01.10(00)以降サポート
最大エントリ:64エントリ


この設定を行わない場合

IKEv1では暗号化アルゴリズム:DES、認証アルゴリズム:HMAC-MD5で動作します。
IKEv2では暗号化アルゴリズム:3DES、認証アルゴリズム:HMAC-SHA-1で動作します。


設定モード

基本設定モード

トップページへ